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^4) Precede de transmission d'Information conftdentlelle entre deux cartes a puces. 

^7) L'invention conceme la transmission cryptee d'une in- 

f&fmation (Kd) entre deux cartes ^ microprocesseur (CM. ' 
CP). On crypte I'information dans la premiere carte, on 
transmet 1' information crypt6e de la premiere carte ^ la 
deuxieme, et on d6crypte I'information dans la deuxi^me 
carte. La particularity de l'invention est que Ton utilise une 
cid de cryptage puisne dans une r^erve de olds potentiel- 
les qui est constitute par la memoire morte (120 pour CM, 
220 pour CP) de la carte. Pour que les deux cartes puis- 
sent utiliser la meme cle sans faire tnansiter cette cle en 
clair entre les deux cartes, on utilise un index, engendre 
par la premiere carte et transmis a la deuxieme carte. La 
cle est le contenu du fichier de memoire morte ^ I'adresse 
definie par Tindex. 

Application ^ la transmission d'une cl6 secrete (Kd), di- 
versifite ^ partir d'une cl6 de base (KF), entre une carte de 
diversification (CM) et une carte k personaliser (CP). 
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PROCEDE DE TRANSMISSION D « INFORMATION CONFIDENTIELLE 
ENTRE DEUX CARTES A PUCES 

li ' invention concerne la secxirite dans les 
applications des cartes a puces. Plus precisement elle 
concerne la transmission securisee d* informations entre 
deux cartes a puces. 

On deer ir a 1 * invention a propos d * un cas 
particulier, bien que 1* invention ait des applications 
plus generales. Ce cas particulier est celui de 
1 ' elaboration de cles de cryptage secretes, diversifiees 
a partir d'une cle de base, qui doivent etre placees 
dans des cartes a puces qu'on veut utiliser dans une 
application determinee. 

Pour une application determinee, application 
bancaire par exemple, I'emetteur de cartes a puces (la 
banque par exemple) va distribuer une carte a chaque 
client. Cette carte devra comporter dans sa memoire 
interne une cle de cryptage secrete, non connue et non 
accessible meme par le titulaire de la carte. Cette cle 
servira a crypter la transmission d • informations entre 
la carte et I'appareil de transaction qui va utiliser la 
carte. L'appareil de transaction connaltra la cle 
secrete, pour pouvoir decrypter la transmission. 

La cle secrete sera differente pour chaque carte, 
et c'est pourquoi elle est appelee cle diversifiee. 

II est done necessaire, a un certain stade de 
1 ' elaboration des cartes, de placer une meme cle secrete 
a la fois dans la carte d'un titulaire et dans 
I'appareil de transaction (ou dans le systeme 
informatique general qui pilote les appareils de 
transaction) . II y a done necessite de transmettre une 
information conf identielle d'un organe a un autre. 



m 



2681165 



2 

Cette operation est delicate car il y a un risqxie 
qu'une personne chargee de ce travail et pouvant done 
avoir de ce fait acces aux cles secretes, ne s'en serve 
pour realiser frauduleusement des cartes ayant toutes 
5 les capacites des cartes legitimes. 

Evidemment on peut crypter a nouveau la 
transmission de 1 ' information conf identielle, Mais pour 
cela il faut une cle de cryptage et cette cle doit aussi 
etre transmise. On n'a fait que reporter le probleme. 

10 Par exemple, une technique de production d'une cle 

diversifiee pour une application a utilisateurs 
multiples est la suivante : on utilise deux cartes a 
puces semblables, dont I'une est une carte maltresse 
chargee d'elaborer et . eventuellement de garder en 

15 memoire la cle diversifiee, et 1' autre est une carte 
esclave ou carte a personnaliser, devant recevoir dans 
sa memoire la cle secrete diversifiee qu'elle devra 
utiliser par la suite pour des operations 
d'authentif ication* La carte maltresse pourra servir a 

20 transporter, vers les appareils de transaction ou vers 
le systeme qui les gere, la liste des cles divers if iees 
autorisees. 

Dans cette technique, la carte maltresse contient 
un microprocessevir avec une memoire de programmes, et 

25 dans cette memoire un programme d » elaboration de cle 
diversifiee. Mais comme la cle diversifiee ne doit pas 
circuler en clair entre les deux cartes (pour eviter les 
fraudes) , la carte comprend aussi un programme de 
cryptage pour envoyer la cle diversifiee sous une forme 

3 0 indechif frable. La cle diversifiee est done calculee, 
puis cryptee; le resultat du cryptage est envoye a la 
carte a personnaliser. 

La carte a personnaliser contient aussi un 
microprocesseur et une memoire de programmes, et dans 
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cette memo ire un programme de decrypt age permettant de 
retrouver la cle diversifiee a partir du signal crypte 
cju'elle regoit, 

Le programme de cryptage utilise une cle secrete de 
5 cryptage qui, bien entendu, doit r ester conf identielle, 
faute de quoi une reconstitution de cles divers if iees 
serait possible, entrainant le risque de production 
frauduleuse de cartes. 

Mais le programme de decryptage doit connaitre 

10 cette cle, faute de quoi il ne pourrait pas reconstituer 
la cle diversifiee qu'il attend. II faut done que la 
carte a personnaliser contienne, dans une zone de 
memoire inaccessible, cette meme cle de cryptage. Et par 
consequent il faut qu'a un moment ou un autre du precede 

15 de cryptage on place dans les deux cartes a la fois une 
meme cle de cryptage, qui ne sert que provisoirement 
pour envoyer de la carte maltresse vers la carte a 
personnaliser la cle diversifiee. 

II y a done un risque qu'une personne mal 

20 intentionnee utilise la connaissance qu'elle a de cette 
cle pour reconstituer a des fins frauduleuses tout le 
processus de fabrication d'une cle diversifiee. Cette 
personne pourrait alors realiser de fausses "vraies 
cartes" . 

25 Le but de 1' invention est d'eviter ce risque par un 

moyen reiativement simple. 

Selon 1' invention, on utilise le fait que la carte 
maitresse et la carte a personaliser ont dans leur 
memoire morte des programmes ou des portions de 

3 0 programmes identiques, ne serait-ce que parce qu'elles 
sont faites par le meme fabricant, ou parce qu'elles ont 
un systeme d* exploitation identique ou parce qu'elles 
respectent des criteres de normalisation identiques. 
Dans la pratique, la memoire morte des dexxx cartes sera 
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meme rigour easement identiqpie. 

L ' idee maltresse de 1 • invention est d ' utiliser 
comme cle de cryptage commune aux deux cartes une donnee 
prise parmi un fichier (et de preference le fichier de 
5 memoire morte du systeme d' exploitation de la carte) 
dont le contenu et 1 ' organisation sont identiques dans 
les deux cartes, la donnee etant designee a partir d'un 
index transmis d'une carte a 1' autre et susceptible de 
var ier • 

10 Par consequent, au lieu d' avoir a inscrire dans 

deux cartes differentes une cle de cryptage commune avec 
le risque que cette inscription double permette ensuite 
une fraude, on utilise comme cle de cryptage un contenu 
deja inscrit mais inconnu a priori et pouvant var ier 

15 d'une operation a une autre. Si de plus I'adresse a 
laquelle on va chercher ce contenu varie de maniere 
aleatoire, on aboutit a une tres grande securite* 

Selon un aspect de 1* invention, on propose done un 
precede de transmission cryptee d'une information entre 

20 deux cartes a microprocesseur qui ont chacune un fichier 
de memoire a plusieurs adresses, ce fichier ayant un 
contenu identique pour les deux cartes, precede dans 
lequel on crypte 1 • information dans la premiere carte, 
on transmet 1 * information cryptee de la premiere carte a 

25 la deuxieme, et on decrypte 1 ' information dans la 
deuxieme carte, ce precede etant caracterise en ce que 
le cryptage et le decryptage sont ef fectues avec pour 
cle le contenu d'une partie seulement du fichier de 
memoire, identifiee par une donnee d'adressage qui est 

3 0 utilisee par la premiere carte et transmise a la 
deuxieme carte. 

La donnee d'adressage peut etre une adresse 
preprement dite, mais de preference elle sera plutot un 
index a partir duquel on peut calculer une adresse. Les 
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deux cartes possedent alors en memoire le laeme programme 
de calcul d*une adresse a partir d^une valeur d' index, 

Selon un aspect important de 1' invention, c'est la 
memoire morte de la carte, celle qui contient le systeme 
5 d' exploitation de la carte qui va etre utilisee. Elle 
constitue en effet un fichier dans lequel on peut puiser 
un grand nombre de cles (chaque cle correspondant par 
exemple a un mot ou plusieurs mots consecutifs de 
memoire) . 

10 L' invention est applicable notamment mais non 

exclusivement au cas evoque dans le preambule, a savoir 
le cas aH 1 ' information a transmettre de maniere cryptee 
entre les deux cartes est elle-meme une cle de cryptage; 
et notamment lorsque cette information est une cle 

15 diversif iee qui doit etre calculee par la premiere carte 
et stockee de maniere confident ielle dans la deuxieme. 

Une maniere de mettre en oeuvre 1 ' invention 
consiste a utiliser, pour ctiaque operation de 
transmission cryptee entre les deux cartes, un 

20 generateur de donnee aleatoire interne a I'une des 
cartes (de preference la premiere) ; ce generateur 
fournira une donnee non previsible pouvant servir 
d* index pour le calcul d*une adresse de memoire de 
chaque carte. Cet index aleatoire permettra de definir 

25 une cle de cryptage; il sera utilise par la premiere 
carte pour crypter la transmission, et il sera envoye a 
la deuxieme carte en meme temps que 1 • information 
cryptee pour permettre le decryptage. Lors d'une 
nouvelle operation, le generateur aleatoire fournira une 

3 0 autre adresse de memoire. 

D'autres caracteristiques et avantages de 
1 ' invention apparaltront a la lecture de la description 
detaillee qui suit et qui est faite en reference aux 
dessins annexes dans lesquels : 
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diversification de cle dans lequel la presente invention 
peut etre mise en oeuvre; 

- la figure 2 represente schematiqueiaent les deux 
cartes du systeme; 

- la figure 3 represente les etapes principales du 
precede de transmission securisee del' invention. 

L ' invention est applicable de maniere generale a la 
transmission d ' information cryptee entre deux cartes 
ay ant chacune au mo ins une memo ire f igee dont le contenu 
est commun aux deux cartes; la description qui suit sera 
donnee en reference a I'exemple particulier de la 
transmission d'une cle diversifiee entre une carte 
maltresse et une carte a personaliser avec une cle 
diversifiee. 

A la figure 1 on a done represente un systeme 
capable de recevoir deux cartes et de permettre un 
dialogue entre les deux cartes. Le systeme peut etre un 
microordinateur a usage general PC avec un clavier CL, 
un ecran SC et deux lecteurs de cartes LCI et LC2 , ou 
bien ce peut etre un systeme specialement conqiu pour 
1* operation de diversification. II doit pouvoir realiser 
la transmission d' informations entre deux cartes a 
puces . 

L'une des cartes est la carte maltresse CM; 1» autre 
est la carte a personaliser CP. 

Les deux cartes sont des cartes a microprocesseur , 
comportant un microprocesseur , une memo ire vive de 
travail (RAM) , une memoire morte de programmes (ROM) 
contenant au moins le systeme d' exploitation de la 
carte, et une memoire non volatile electriquement 
inscriptible (EPROM ou EEPROM ou Flash EPROM) . Cette 
derniSre memoire contient en principe des programmes 
d' application, mais elle peut contenir aussi d'autres 
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donnees^ et notamicient des niimeros d' identification^ et 
la cle secrete diversifiee qu'on va chercher a y mettre. 
Class iquement/ certaines zones de la memoire non 
volatile inscriptible electriquement sont non 
5 accessibles en lecture et en ecriture, sauf par le 
microprocesseur dans certains programmes du systeme 
d • exploitation • 

Le contenu de la memoire morte de programmes n'est 
d'ailleurs pas accessible sur les bornes exterieures de 
10 la carte. Seul le microprocesseur peut aller le 
chercher, uniquement lors de certains programmes du 
systeme d' exploitation. 

Sur la figure 2 on a represente les deux cartes 
sous forme schematique, avec leur microprocesseur s (MPl 
15 pour la carte maltresse, MP2 pour la carte a 
personaliser) , leur memoire vive (110, 210) leur memoire 
morte (120, 220) leur memoire non volatile (130, 230), 
et un interface de communication avec I'exterieur (140, 
240) . 

20 L • elaboration de la cle diversifiee, a placer a la 

fois dans la memoire non volatile de la carte a 
personaliser et dans la memoire non volatile de la carte 
maltresse, se fait comme suit : 

Une donnee NS est envoyee par la carte a 

25 personaliser CP a la carte maltresse CM. Cette donnee 
peut etre le numero de serie de la carte, inscrit dans 
sa memoire non volatile 23 0. 

Cette donnee sert a 1 ■ elaboration de la cle 
diversifiee Kd qu*on veut elaborer. 

30 Par exemple, la valeur Kd est elaboree a partir de 

NS par une fonction de cryptage a cle secrete C(NS,KF) 
oH KF est une cle secrete contenue dans la carte 
maltresse. Le programme de calcul de cette fonction est 
contenu dans la memoire de la carte MP et est execute 
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par le microprocesseur de cette carte. La fonction C() 
est de preference 1 • algorithme standard DES ("Data 
Encryption Standard") publie par le National Bureau of 
Standards des USA, dans Federal Register vol 40, N*»52 du 
5 17 Mars 1975 et 149 du ler Aotit 1975. 

La cle diversifiee Kd a mettre dans la carte a 
personaliser est done Kd = C(NS,KF) . Elles est destinee 
a etre transmise a la carte a personaliser, mais par 
ailleurs elle peut etre enregistree dans la carte 
10 maltresse, ou etre envoyee par tout moyen a 
1 ' application dans laquelle la carte sera utilisee. La 
carte maltresse peut elle-meme servir de vecteur de 
transmission vers un ordinateur central de . cette 
application. 

15 Dans certains cas,r il n'est meme pas necessaire de 

conserver la cle Kd autrement que dans la carte a 
personaliser. C'est le cas lorsque 1* application ne 
cherclie pas §i verifier precisement chaque cle 
diversifiee mais cherche tout simplement a verifier si 

20 la cle presente dans la carte est bien une cle 
diversifiee a partir d'une cle de base KF determinee. 

Pour ne pas transmettre en clair la cle Kd a la 
carte a personaliser on precede de la maniere indiquee 
ci-apres. 

25 Un index I de valeur aleatoire, non repetitive 

d'une etape de diversification de cle a une autre est 
4labore. 

Sommairement, on peut creer cet index a partir d'un 
generateur pseudo-aleatoire physique, ou avec un 
3 0 programme contenu dans la memo ire de la carte maltresse; 
ce programme peut utiliser le contenu d*un registre non 
volatile incremente a chaque nouvelle operation et une 
fonction de cryptage telle que I'algorithme DES, 
eventuellement avec la meme cle secrete KF deja utilisee 
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precedemment ou avcc n'importe quelle autre cle, Le 
nombre ainsi genere peut etre considere comme aleatoire 
et non repetitif pour les besoins pratiques* 

L' index de valeur aleatoire I va servir a calculer 
5 une adresse de memoire morte. Pour augmenter la 
secvirite, on prefere ne pas utiliser directement 1* index 
comme adresse ou comme saut d' adresse. Mais on effectue 
un calcul, par exemple une fonction polynomiale, pour 
generer une adresse AD = P(I) - On s* arrange pour que 
10 cette adresse reste contenue dans des limites telles qpie 
n'importe quelle adresse ainsi generee designe un mot de 
memoire d'un fichier identique dans les devix cartes. 

Le programme de calcul de 1» adresse AD a partir de 
I est contenu dans une .memoire de la carte maitresse, 
15 mais aussi dans une memoire de la carte a personaliser . 

L* index I sera transmis en clair a la carte a 
personaliser. 

Ij* adresse AD est utilisee par le microprocesseur 
qui va lire dans la memoire de la carte, a 1' adresse AD, 

20 un contenu qui sera considere comme une cle de cryptage 
Kc pour une fonction de cryptage D(Kd,Kc) de la cle de 
diversification Kd. 

Le f ichier choisi pour servir ainsi de reserve de 
cles de cryptage est le f ichier de memoire morte, celui 

25 qui contient le systeme d» exploitation de la memoire, 
car d'une part il est identique pour les deux cartes, et 
d" autre part il contient suffisamment de mots pour 
constituer une reserve de nombreuses cles de cryptage 
possibles. 

3 0 Le programme de cryptage D() qui va utiliser la cle 

trouvee a 1* adresse AD est contenu dans la memoire de la 
carte maltresse; il est execute et le resultat D(Kd,Kc) 
est transmis a la carte a personaliser en meme temps que 
1 ' index I . 
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La carte a personaliser revolt !• index I, execute 
la meme fonct.ion polynomiale, qu'elle a en memoire 
(morte ou non volatile), determine I'adresse AD, va 
chercher son contenu qui est le meme contenu Kc que dans 
5 1' autre carte du fait que la zone de memoire designee 
est identique dans les deux cartes. 

La carte a personaliser comporte par ailleurs un 
programme de decrypt age D"l() qui est 1» inverse du 
programme de cryptage D() et qui permet done de 
10 retrouver Kd en utilisant la meme cle Kc qui a servi a 
crypter Kd. 

Autrement dit, si U = D(Kd,Kc), alors 

Kd = D"l(U,Kc) . 

La cle divers if iee Kd est done retrouvee, et 
15 stockee dans la memoire non volatile de la carte a 
personaliser (zone inaccessible, c*est-a-dire ne pouvant 
pas etre utilisee autrement que par le microprocesseur 
pour les besoins des f onctions de cryptage) . 

La cle divers if iee Kd peut egalement etre stockee 

2 0 dans la memoire de la carte maltresse CM. 

Seul a transite en clair entre les deux cartes 
1 ' index I . Celui-ci represente non pas un cryptage reel 
mais une dissimulation de I'adresse AD, 

Mais meme si un fraudeur arrivait a connaitre 
25 I'adresse AD qui a servi au moment du cryptage, il faut 
comprendre que 

- d'une part, le fraudeur ne connalt pas le contenu 
du fichier (inaccessible) qui est utilise comme reserve 
de cles; 

3 0 - d' autre part, 1' index et done I'adresse AD sont 

renouveles a chaque fois d'une maniere aleatoire et par 
consequent 1 ' observation d'une transmission ne permet 
pas de deduire des enseignements pour une prochaine 
fois. 
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La figure 3 rappelle les principales etapes de ces 
operations. 

On pourrait envisager d*utiliser coiame memo ire 
commune aux deux cartes non pas la memoire morte de 
5 programme de systeme de la carte mais une memoire 
electriquement programmable (non accessible en ecriture 
effacement ou lecture) pourvu qu'elle ait un contenu 
identique pour les deux cartes. 

La cle de cryptage Kc trouvee a I'adresse AD peut 
10 etre constituee par un mot a cette adresse, ou plusieurs 
mots consecutifs debutant a I'adresse AD, ou encore une 
fraction du mot a I'adresse AD, On peut aussi envisager 
des solutions plus complexes de choix de la cle a partir 
de I'adresse AD : par exemple, la cle peut etre 
15 constituee par le premier bit de x mots successifs a 
partir de I'adresse AD. 
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REVENDICATIONS 



1. Precede de transmission cryptee d'une 
information (Kd) entre deux cartes a microprocesseur 
(CM, CP) qui ont chacune un fichier de memoire (120, 
220) a plusieurs adresses, ce fichier ayant un contenu 
5 identique pour les deux cartes, precede dans lequel on 
crypte 1 ' inf oinnation dans la premiere carte, on transmet 
1' information cryptee de la premiere carte a la 
deuxieme, et on decrypte 1 ' information dans la deuxieme 
carte, ce precede etant caracterise en ce que le 
10 cryptage et le decryptage sont effectues avec pour cle 
(Kc) le contenu d'une partie seulement du fichier de 
memoire, identifiee par une donnee d'adressage (I) 
commune qui est utilisee par la premiere carte et 
transmise a la deuxieme carte- 
ls 2 . Precede de transmission cryptee selon la 
revendication 1, caracterise en ce que les cartes sont 
des cartes a microprocesseur cemportant une memoire 
morte de programmes dent le contenu est notamment un 
systeme d' exploitation de la carte, et en ce que le 
20 fichier de memoire commun utilise comme reserve de cles 
de cryptage est la memoire morte de chacune des cartes, 

3, Precede selon I'une des revendications 1 et 2, 
caracterise en ce que la donnee d'adressage transmise de 
a la deuxieme carte est un index (I) permettant de 
25 calculer une adresse (AD) , et en ce que les deux cartes 
comportent en memoire un meme programme de calcul P(I) 
pour calculer une adresse a partir de 1* index. 

4 • Precede selon la revendication 3 , caracterise 
en ce que 1 • index est elabore dans la premiere carte* 
30 5. Procede selon I'une des revendications 3 et 4, 
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caracterise en ce que 1* index est elabore de maniere 
aleatoire, par un generateur pseudo-al^atoire ou un 
programme de calcul d*un nombre aleatoire. 

6. Precede selon I'une des revendications 3a 5^ 
caracterise en ce que I'adresse est calculee par une 
fonction polynomiale a partir de 1" index. 

?• Precede selon l*une des revendications 
precedentes, caracterise en ce que la premiere carte est 
une carte de calcul d'une cle de cryptage diversifiee 
(Kd) , cette cle etant destinee a etre stockee dans la 
deuxieme carte qui est une carte a personaliser ^ en ce 
que 1 • information a transmettre est cette cle (Kd) , et 
en ce que la premiere carte envoie a la deuxieme a la 
fois la donnee d'adressage (T) et la cle diversifiee 
cryptee par une cle (Kc) trouvee dans le fichier de 
memoire a partir de la donnee d'adressage. 
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